Зловреден софтуер
Има клас програми, които първоначално са били написани с цел унищожаване на данни на чужд компютър, кражба на чужда информация, неоторизирано използване на чужди ресурси и т.н., или са придобили такива свойства поради някаква причина. Такива програми носят злонамерен товар и съответно се наричат злонамерени.
Зловреден софтуере програма, която причинява някаква вреда на компютъра, на който работи, или на други компютри в мрежата.
Всички злонамерени програми могат да бъдат разделени на четири основни типа според методите на разпространение и злонамереното натоварване –
и други програми.
Исторически се случи така, че терминът "компютърен вирус" често се използва за означаване на всяка злонамерена програма. Това се дължи преди всичко на факта, че първите добре познати злонамерени програми бяха именно вируси и през следващите десетилетия броят на вирусите значително надвиши броя на всички останали злонамерени програми, взети заедно. Напоследък обаче се наблюдават тенденции към появата на нови, невирусни технологии, които използват злонамерени програми. В същото време делът на истинските вируси в общия брой злонамерени инциденти значително е намалял през последните години. Днес злонамереният софтуер в по-голямата си част не е точно вируси, въпреки че термини като "вирусна инфекция", "вирусен инцидент" се прилагат за целия зловреден софтуер навсякъде. Следователно, в целия курс, освен ако не е отбелязано друго, терминът "вирус" ще се отнася и за злонамерен софтуер.
Основната характеристика на компютърния вирус е способността да се възпроизвежда.
Компютърният вирусе програма, способна да създава свои дубликати(не е задължително да са идентични с оригинала) и да ги вградите в компютърни мрежи и/или файлове, области на компютърна система и други изпълними обекти. В същото време дубликатите запазват възможността за по-нататъшно разпространение.
Обикновено жизненият цикъл на всеки компютърен вирус може да бъде разделен на пет етапа:
Проникване в компютъра на някой друг Както мобилните медии, така и мрежовите връзки могат да служат като начини за проникване на вируса - всъщност всички канали, през които може да бъде копиран файл. Вирусите не използват мрежови ресурси - заразяването с вируси е възможно само ако потребителят го е активирал по някакъв начин. Например, той копира или получи заразен файл по пощата и го стартира сам или просто го отвори.
Търсете обекти за заразяване
След проникването следва активиране на вируса. Това може да стане по няколко начина и според избрания метод вирусите се разделят на следните типове:
Вирусите за зарежданезаразяват секторите за зареждане на твърдите дискове и мобилните медии.
Файлови вируси- заразяват файлове.Файловите вирусизаразяват предимно изпълними модули, т.е. файлове с разширения COM и EXE. Файловите вируси могат да заразят и други видове файлове, но като правило те се записват в такива файлове, никога не получават контрол и следователно губят способността си да се възпроизвеждат.
Отделно, според вида на местообитанието в тази група, те също разграничават:
Класически файлови вируси- те проникват в изпълними файлове по различни начини (инжектират собствен злонамерен код или напълно ги презаписват), създават дублиращи се файлове, копия на себе си в различни директории на твърдия диск или използват функции за организация на файловата система
Скриптови вируси, написани катоскриптове за конкретна командна обвивка - например bat файлове за DOS или VBS и JS - скриптове за Windows Scripting Host (WSH)
Допълнителна разлика между вирусите и другите злонамерени програми е тяхната силна привързаност към операционната система или обвивката, за която е написан всеки отделен вирус.Това означава, че вирус за Microsoft Windows няма да работи и да заразява файлове на компютър с друга инсталирана операционна система, като Unix. По същия начин макро вирус за Microsoft Word 2003 най-вероятно няма да работи в Microsoft Excel 97.
Когато подготвят своите вирусни копия за маскиране от антивируси, те могат да използват технологии като:
Шифроване- в този случай вирусът се състои от две части: самия вирус и енкодера.
Метаморфизъм- при използване на този метод се създават вирусни копия чрез замяна на някои команди с подобни, пренареждане на части от кода, вмъкване на допълнителни команди между тях, които обикновено не правят нищо.
Съответно, в зависимост от използваните методи, вирусите могат да бъдат разделени на криптирани, метаморфни и полиморфни, като се използва комбинация от два вида маскиране.
Основните цели на всеки компютърен вирус са да се разпространи в други компютърни ресурси и да извърши специални действия в отговор на определени събития или потребителски действия(например на 26-ия ден от всеки четен месец или когато компютърът се рестартира). Специалните действия често са вредни.
Червей(мрежов червей) е злонамерена програма, която се разпространява през мрежови канали и е в състояние самостоятелно да преодолее системите за защита на компютърни мрежи, както и да създава и разпространява свои копия беззадължително съответстващ на оригинала.
Жизненият цикъл на червеите се състои от следните етапи:
Проникване в системата (през мрежата)
Активиране (самостоятелно или потребителско)
Търсете обекти за заразяване
В зависимост от метода на проникване в системата, червеите се разделят на видове:
Мрежовите червеиизползват локални мрежи и интернет за разпространение
Пощенски червеи- разпространяват се чрез имейл програми
Червеите за IMизползват системи за незабавни съобщения1)
IRC червеисе разпространяват чрез IRC канали2)
P2P червеи- използване на peer-to-peer мрежи за споделяне на файлове3)
След като проникне в компютъра, червеят трябва да се активира - с други думи, да стартира. Според метода на активиране всички червеи могат да бъдат разделени на две големи групи - такива, които изискват активно участие на потребителя и такива, които не го изискват. На практика това означава, че има червеи, които се нуждаят от собственика на компютъра да им обърне внимание и да стартират заразения файл, но има и такива, които го правят сами, например, използвайки грешки в конфигурацията или дупки в сигурността на операционната система. Отличителна черта на червеите от първата група е използването на измамни методи. Това се проявява, например, когато получателят на заразен файл е подведен от текста на писмото и доброволно отвори прикачен файл с пощенски червей, като по този начин го активира. Напоследък се наблюдава тенденция за комбиниране на тези две технологии - такива червеи са най-опасни и често причиняват глобални епидемии.
Мрежовите червеи могат да си сътрудничат с вируси- такава двойка може независимо да се разпространява в мрежата (благодарение начервей) и в същото време заразяват компютърните ресурси (вирусни функции).
Троянските коне или програмите троянски кон, за разлика от вирусите и червеите, не е необходимо да могат да се възпроизвеждат.
Троянски кон(троянски кон) - програма, чиято основна цел е да навреди на компютърна система.
Следователно жизненият цикъл на троянските коне се състои само от три етапа:
Проникване в системата. Някои троянски коне са способни самостоятелно да преодолеят защитните системи на компютърна система, за да проникнат в нея. Въпреки това, в повечето случаи те проникват в компютрите заедно с вирус или червей - т.е. такива троянски коне могат да се разглеждат като допълнителен злонамерен товар, но не и като независима програма. Често потребителите сами изтеглят троянски коне от интернет.
Активиране След като проникне в компютър, троянският кон трябва да бъде активиран, а тук изглежда като червей - или изисква активни действия от потребителя, или заразява самата система чрез уязвимости в софтуера.
Извършване на злонамерени действия
Както бе споменато по-горе, троянските коне могат да проникнат в системата по два начина - независимо и в сътрудничество с вирус или мрежов червей. В първия случай обикновено се използва маскировка, когато троянски кон се преструва, че е полезно приложение, което потребителят самостоятелно копира на своя диск (например изтегля от интернет) и стартира. В същото време програмата наистина може да бъде полезна, но наред с основните функции може да изпълнява действия, характерни за троянски кон.
Тъй като основната цел на писането на троянски коне е да извършват неразрешени действия, те се класифицират според типа злонамерен полезен товар:
Пограбителипаролитеса предназначени да крадат пароли чрез търсене в заразения компютър за специални файлове, които ги съдържат.
Анонимни SMTP сървъри4)и прокси сървъри5)- такива троянски коне на заразения компютър организират неоторизирано изпращане на електронна поща, която често се използва за изпращане на спам.
Помощни програми за набиранев скрит режим от потребителя инициират връзка към платени интернет услуги.
Логическите бомбисе характеризират с възможност за извършване на някакво действие, например изтриване на файлове, когато се задействат условията, заложени в тях (в определен ден, час от деня, определено действие на потребител или команда отвън).
Отделно отбелязваме, че има програми от класа на троянските коне, които вредят на други, отдалечени компютри и мрежи, без да нарушават работата на заразения компютър. Видните представители на тази група са организаторите на DDoS атаки.